Investigadores de ciberseguridad han revelado detalles de lo que parece ser una nueva cepa de Shai Hulud en el registro del NPM, con cambios menores con respecto a la ola anterior observados el mes pasado.
El paquete npm que incorpora la nueva variedad Shai Hulud es “@vietmoney/react-big-calendar” y fue subido a npm en marzo de 2021 por un usuario llamado “hoquocdat”. La primera actualización tuvo lugar el 28 de diciembre de 2025 a la versión 0.26.2. El paquete se ha descargado 698 veces desde su lanzamiento inicial. La última versión se ha descargado 197 veces.
Aikido, que descubrió el paquete, dijo que no había detectado ninguna propagación o infección importante después de lanzar el paquete.
“Esto sugiere que es posible que hayamos atrapado a los atacantes probando su carga útil”, dijo el investigador de seguridad Charlie Eriksen. “Las diferencias en el código sugieren que fue nuevamente ofuscado de la fuente original en lugar de modificado en el lugar. Esto hace que sea muy poco probable que sea una imitación, sino que fue creado por alguien que tuvo acceso al código fuente original del gusano”.
El ataque de Shai Hulud salió a la luz por primera vez en septiembre de 2025, cuando se descubrieron paquetes npm troyanizados que robaban datos confidenciales, como claves API, credenciales de la nube y tokens npm y GitHub, y los exfiltraban a los repositorios de GitHub utilizando los tokens robados. En la segunda ola, descubierta en noviembre de 2025, los repositorios contenían la descripción “Sha1-Hulud: The Second Coming”.
Pero el aspecto más importante de la campaña es su capacidad de convertir los tokens npm en armas para capturar 100 paquetes más descargados por el desarrollador, introducir los mismos cambios maliciosos y enviarlos a npm, expandiendo así el alcance del compromiso de la cadena de suministro.
La nueva variedad trae cambios notables.
- El archivo original ahora se llama “bun_installer.js” y la carga útil principal se llama “environment_source.js”.
- Los repositorios de GitHub donde se comparten los secretos tienen la descripción “Goldox-T3chs: Only Happy Girl”.
- Los nombres de los archivos que contienen los secretos son: 3nvir0nm3nt.json, cl0vd.json, c9nt3nts.json, pigS3cr3ts.json y actionSecrets.json
Otros cambios clave incluyen un mejor manejo de errores cuando el escáner de credenciales de TruffleHog agota el tiempo de espera, una publicación mejorada de paquetes basada en el sistema operativo y cambios en el orden en que se recopilan y almacenan los datos.
El paquete falso Jackson JSON Maven lanza Cobalt Strike Beacon
El desarrollo se produce después de que la compañía de seguridad de la cadena de suministro dijera que identificó un paquete malicioso (“org.fasterxml.jackson.core/jackson-databind”) en Maven Central que se hace pasar por una extensión legítima de la biblioteca Jackson JSON (“com.fasterxml.jackson.core”) pero contiene una cadena de ataque de varias etapas que ofrece ejecutables específicos de la plataforma. Desde entonces, el paquete ha sido eliminado.
El archivo Java (JAR) contiene código muy ofuscado que entra en acción cuando un desarrollador desprevenido agrega la dependencia maliciosa a su archivo pom.xml.
“Cuando se inicia la aplicación Spring Boot, Spring busca las clases @Configuration y encuentra JacksonSpringAutoConfiguration”, dijo Eriksen. “La verificación @ConditionalOnClass({ApplicationRunner.class}) pasa (ApplicationRunner siempre está presente en Spring Boot), por lo que Spring registra la clase como un bean. El ApplicationRunner del malware se llama automáticamente después de que se carga el contexto de la aplicación. No se requieren llamadas explícitas”.
Luego, el malware busca un archivo llamado “.idea.pid” en el directorio de trabajo. La elección del nombre del archivo es deliberada y debe coincidir con los archivos del proyecto IntelliJ IDEA. Si existe un archivo de este tipo, es una señal para el malware de que ya se está ejecutando una instancia del mismo, lo que hace que se cierre silenciosamente.
En el siguiente paso, el malware comprueba el sistema operativo y se pone en contacto con un servidor externo (“m.fasterxml(.)org:51211”) para recuperar una respuesta cifrada con las URL de una carga útil para descargar según el sistema operativo. La carga útil es una baliza Cobalt Strike, una herramienta de simulación de adversario legítima de la que se puede abusar con fines posteriores a la explotación y de comando y control.
En Windows, está configurado para descargar y ejecutar un archivo llamado “svchosts.exe” desde “103.127.243(.)82:8000”, mientras que en sistemas Apple macOS descarga una carga útil llamada “Actualización” desde el mismo servidor.
Un análisis más detallado reveló que el dominio “fasterxml(.)org” reemplazado por un error tipográfico se registró a través de GoDaddy el 17 de diciembre de 2025, apenas una semana antes de que se descubriera el paquete malicioso Maven.
“Este ataque aprovechó un punto ciego particular: las sustituciones de prefijos de estilo TLD en la convención de espacio de nombres de dominio inverso de Java”, dijo Eriksen. “La biblioteca Jackson legítima usa com.fasterxml.jackson.core, mientras que el paquete malicioso usa org.fasterxml.jackson.core”.
El problema, dice Aikido, surge de la incapacidad de Maven Central para detectar paquetes imitadores que usan prefijos similares a sus contrapartes legítimas para engañar a los desarrolladores para que los descarguen. También se recomienda que los mantenedores del repositorio de paquetes consideren mantener una lista de espacios de nombres de alta calidad y sometan cualquier paquete publicado bajo espacios de nombres similares a una revisión adicional para garantizar que sean legítimos.
About The Author
